JP2010531516A - Provisioning and domain join emulation of the device through the insecure network - Google Patents

Provisioning and domain join emulation of the device through the insecure network Download PDF

Info

Publication number
JP2010531516A
JP2010531516A JP2010514942A JP2010514942A JP2010531516A JP 2010531516 A JP2010531516 A JP 2010531516A JP 2010514942 A JP2010514942 A JP 2010514942A JP 2010514942 A JP2010514942 A JP 2010514942A JP 2010531516 A JP2010531516 A JP 2010531516A
Authority
JP
Grant status
Application
Patent type
Prior art keywords
domain
proxy
method
credentials
mobile device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010514942A
Other languages
Japanese (ja)
Inventor
コッター,ポール
ハーゾグ,シャイ
Original Assignee
マイクロソフト コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0823Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0884Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATIONS NETWORKS
    • H04W12/00Security arrangements, e.g. access security or fraud detection; Authentication, e.g. verifying user identity or authorisation; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

Proxy service that enables a domain join operation for a client over a non-secure network. The join operation is achieved with minimal security exposure by using machine identity information rather than user credentials. The proxy only uses permission associated with adding a new machine account to the enterprise directory, and not for adding a user account or take ownership of existing accounts. The proxy enables authentication based on actual machine account credentials to obtain a signed certificate, rather than conventional techniques such as delegation. Moreover, the enrollment process employs an original trust relationship between the device and the proxy rather than requiring or depending on public trust.

Description

本発明は、ネットワークを介しクライアントに対するドメイン加入操作を可能にするプロキシサービスに関する。 The present invention relates to a proxy service that enables domain join operation to a client via a network.

法人の計算機は、通常、(例えばマイクロソフトネットワークにおいて)「ドメイン」又は非マイクロソフトネットワーク(例えば、Novell(登録商標)ディレクトリ、イエローページその他)において類似の名前で呼ばれている、コミュニティ機構を介し識別され管理されている。 Corporation of the computer, usually, are identified through (for example, Microsoft network in) "domain" or non-Microsoft network (for example, Novell (R) directory, yellow pages, etc.) is called with a similar name in the community mechanism It is managed. ドメインメンバー資格は、特定のマシンを識別し、マシンのコンテンツ(例えば、ポリシー、ソフトウェア、及びコンフィギュレーション)を集中管理するために、法人導入の多くにおいて必須であると考えられている。 Domain membership is to identify a particular machine, the contents of the machine (for example, policy, software, and configuration) In order to centralized management, is considered to be essential in many of the corporate introduction.

例えばラップトップのような携帯用計算機に関して、ドメインメンバーになることは、通常、ユーザー名及びパスワードのような認証の信用証明書を介する認可を必要とする。 For example, with respect to a portable computer such as a laptop, to be a domain member, usually, it requires authorization through the authentication of credentials such as user name and password. いくつかの処理の後、計算機が、ドメインに加入される。 After some processing, computer, it is subscribed to the domain. ドメインにマシンを加入させようとしているユーザーを認証する信用証明書が、例えば、手動か又はスマートカードを介し提供され得る。 Credentials to authenticate the user who is trying to join the machine to the domain, for example, may be provided through a manual or a smart card.

例えば、携帯電話がドメイン加入操作を実行するための技術的な設備を有していない点でモバイル装置は、この領域における困難性を提示している。 For example, the mobile device in that the mobile phone does not have the technical equipment for performing domain join operation presents difficulties in this area. 携帯電話が今まで企業ネットワークにおいて、めったに使用されていないならば、供給メーカーがそのような装置に対する解決法を提供するには、多くの時間が必要である。 In the mobile phone company networks ever, if not rarely been used, to provide a solution supply manufacturers for such devices require a lot of time. したがって、スマートカード解決は扱いにくく、ユーザー名/パスワードのようなユーザー信用証明書は、認証が末端間でない場合、危険に晒され得る。 Therefore, smart card solution is cumbersome, user credentials, such as user name / password, if authentication is not an end-to-end, may be exposed to danger.

ドメインコントローラーは、企業ネットワークにおいてセキュリティの要であると考えられていて、ファイアウォール及び独立した他の隔離装置の背後で十分に保護されるように期待されている。 The domain controller is considered to be the cornerstone of security in an enterprise network, it is expected to be well protected behind a firewall and another independent isolator. 特に、モバイル装置は、多くの場合、リモート(又は企業のイントラネットの外側)にあって、企業ドメインコントローラーに対する直接アクセスを有しないので、そのような装置の多くは、企業ドメインに首尾よく加入するための必要なソフトウェアコンポーネントが不足している。 In particular, mobile devices are often, in the remote (or outside the corporate intranet), does not have direct access to corporate domain controller, many such devices, for join successfully to corporate domain required software component is missing. 困難性は、多角的であって、携帯電話からネットワークに対するソフトウェアギャップを埋めることと、安全でない(無線又はOTAを介する)無線公開インターフェースを介し企業ネットワーク外部からの加入操作を安全に実行することと、を含む。 Difficulty is a multilateral, and to fill the software gap for the network from the mobile phone (via radio or OTA) and unsafe to securely perform the join operation from outside the corporate network via the wireless public interface ,including.

本発明の目的は、クライアント装置とプロキシの間の本来の信用関係を使用し、ドメイン加入機能を提供することである。 An object of the present invention uses the inherent trust relationship between the client device and the proxy is to provide a domain join capabilities.

以下に、本明細書において説明されている新たな実施形態の基本的な理解を提供するために、簡易化された概要を提示する。 Hereinafter, in order to provide a basic understanding of new embodiments described herein, it presents a summary that has been simplified. この概要は、広範囲に及ぶ概要ではなく、主要/重要なエレメントの特定をすることも、その範囲を図で表わすようことも意図されていない。 This summary is not an extensive overview, to a particular key / critical elements also, nor is it intended to represent the range FIG. その唯一の目的は、後で提示される更に詳細な説明に対する前置きとして、簡易化された形式でいくつかの概念を提示することである。 Its sole purpose is as a prelude to the more detailed description that is presented later, it is to present some concepts in a simplified form.

開示されているアーキテクチャは、モバイルクライアントに対するドメイン加入操作を円滑にする登録プロキシを含む。 The disclosed architecture includes a registration proxy to facilitate domain join operation for the mobile client. クライアントをプライベートドメインに加入させるために、モバイルクライアントの代わりにソフトウェアを作動し接続ギャップを埋めるプロキシが、パブリックドメイン(例えばインターネット)から無線(OTA)を介しアクセス可能である。 To join the client in a private domain, proxy bridge the connection gap by operating the software in place of the mobile client is accessible over-the-air (OTA) from the public domain (e.g., the Internet). 一つの新規性は、インターネットに公開されているサービスが、生得の権利を有しておらず、その妥協が、プライベートドメインに対し、大きく低減されたリスクを提示するという点にある。 One of the novelty, services that are exposed to the Internet, does not have the innate right, the compromise is, to the private domain, some to the point of presenting a reduced risk significantly. 本アーキテクチャは、加入操作を容易にするための仲介サービスとしてプロキシを導入し、一旦、動作完了すると、プロキシは、もはやクライアントとプライベートドメインの間の接続を維持することを必要としない。 This architecture introduces a proxy as an intermediary service to facilitate subscription operation, once operation completion, the proxy does not require any longer to maintain the connection between the client and the private domain.

第1の実装において、プロキシによるドメイン加入が、モバイル装置のユーザーによってプロキシに提供されるユーザー名及びパスワードだけを使用して達成される。 In a first implementation, the domain join by proxy is achieved using only the user name and password provided to the proxy by the user of the mobile device. モバイルクライアントの代わりにプロキシは、プライベートドメインのアカウントを確立する。 The proxy, to establish the account of the private domain on behalf of the mobile client. プライベートドメイン及びプロキシは、信用関係を有しているが、プロキシは、セキュリティリスクのためプライベートドメインの公開を抑制する。 Private domain and proxy has the trust relationship, the proxy suppresses public private domain for security risks.

更に、第2の堅牢で安全な実装においては、ワンタイムパスワード(OTP)が採用される。 Further, in the second robust and secure implementation of the one-time password (OTP) is employed. 登録プロキシが、モバイルクライアントに対するプロキシを介したドメイン加入操作を可能にする。 Registration proxy enables domain join operation via the proxy for the mobile client. 加入操作が、最小限のセキュリティ公開を用いて達成される。 Subscription operation is achieved with a minimum of security public. 加入操作は、ユーザー信用証明書(例えばユーザー名及びパスワード)ではなく、モバイル装置のマシン識別に基づいていて、したがってユーザーの識別情報を危険に晒すことに関する潜在的な(例えばなりすまし犯罪)リスクがない。 Subscription operation, the user credentials (eg username and password) without, and are based on the machine identification of the mobile device, and therefore there is no potential (for example, identity theft) risk relates to endanger the user's identity information . 登録プロキシは、新しいマシンアカウントを企業(又は法人)ディレクトリに追加するための権限だけを必要とし、プロキシは、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。 Registration proxy, the new machine account and only need the authority to add to the company (or corporation) directory, the proxy, also not granted permission for additional user accounts also take ownership of an existing account. 登録プロキシは、デリゲーションのような従来技法を使用するのではなく、実際のマシンアカウント信用証明書に基づいて署名済証書を取得する。 Registration proxy, rather than using the conventional techniques such as delegation, to get a signed certificate on the basis of the actual machine account credentials. 登録プロセスは、公共信託を要求したりそれに依存するのではなく、モバイル装置と登録サーバーの間のプライベートルート信用を採用する。 The registration process, rather than relying on it to request the public trust, to adopt the private route credit between the mobile device and the registration server. 最終的に、クライアントは、企業ディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(Active Directory))のプライベートドメインにおいて、マシン識別を付与され、そのアカウントに関連付けられたドメインメンバーとして自己認証を許可する署名済公開信用証明書(例えば公開鍵認証基盤規格のX.509)を受信する。 Finally, the client, in the private domain of the corporate directory (Active Directory, for example, by Microsoft (Active Directory)), is given the machine identification, signed the public credit to allow self-certification as a domain member that is associated with the account to receive the certificate (for example, public key infrastructure standard X.509).

前述の関連した結論に達成するための例示的ないくつかの機能を、以下の説明及び添付された図面に関連し本明細書に説明する。 Exemplary several functions for achieving the above-mentioned related conclusion, in connection with the following description and the accompanying drawings described herein. しかしながら、これらの機能は、本明細書に開示されている原理が使用され得るほんのいくつかの様々な方法を示しており、機能及びそれらの同等物すべてを含むように意図されている。 However, these functions show a few of the various ways in which the principles disclosed herein can be used, is intended to include functions and all equivalents thereof. 他の利点及び新たな機能が、図面に関連し考えられるとき、以下の詳細説明から明らかになるだろう。 Other advantages and new features, when considered in conjunction with the drawings, will become apparent from the following detailed description.

装置をドメインに加入させるための、計算機に実装されるドメインメンバー資格管理システムを例示する。 For join the device to the domain, to illustrate the domain membership management system implemented in a computer. ドメインに対するドメインメンバー資格を管理するための代替システムを例示する。 It illustrates an alternative system for managing the domain membership for the domain. 少なくともブートストラップ及び認証目的のために、ドメインデータストアに存続している情報を例示する。 At least for bootstrap and authentication purposes, to illustrate the information persist domain data store. ドメインメンバー資格管理方法を例示する。 To illustrate the domain membership management method. 信用関係及び認証の確立を支援するデータのデータストアへの存続方法を例示する。 Trust relationship and illustrates the survival process of the authentication data store of the data to support the establishment of. プロキシサーバーを認証するための装置による認証情報の提供方法を例示する。 It illustrates a method of providing authentication information by the device for authenticating the proxy server. プロキシを認証することによる装置の登録方法を例示する。 It illustrates a method of registering device by authenticating the proxy. プロキシに対するクライアントの認証方法を例示する。 It illustrates a client authentication method to the proxy. 装置及びプロキシの認証後の信用証明書の取得方法を例示する。 Illustrate an apparatus and method for acquiring proxy authentication after credentials. ドメイン登録のための信用証明書の取得方法を例示する。 It illustrates a method of obtaining credentials for domain registration. 安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために作動可能な計算システムのブロック図を例示する。 It illustrates a block diagram actuatable computing system to provide provisioning and emulated domain join unsafe. 安全でないプロビジョニング及びドメイン加入のエミュレーションを円滑にする例示的な計算環境の概略ブロック図を例示する。 It illustrates a schematic block diagram of an exemplary computing environment that facilitates provisioning and emulated domain join unsafe.

開示されるアーキテクチャは、一般に、(例えば企業)プライベートドメインに対するアクセスを求めている(例えばモバイル)クライアントに関連し、従来の安全でない接続性及びアクセス問題を解決する単一の安全な仕組みを提供する。 The disclosed architecture generally provides (e.g. companies) associated with (e.g., mobile) client seeking access to the private domain, a single safety mechanism to solve the unsafe connectivity and access problems . 本解決策は、公開ネットワーク(例えばインターネット)のクライアントに無線(OTA)を介しアクセス可能な登録プロキシから成っていて、ユーザー信用証明書又はマシン信用証明書のいずれかに基づいて、クライアントに対するドメイン加入操作を円滑にし、その後、接続からそれ自身を解除する。 This solution, public network (e.g. the Internet) consist client accessible over-the-air (OTA) registration proxy, based on either the user credentials or machine credentials, domain join to the client and to facilitate the operation, then, to release itself from the connection. 最終的に、クライアントは、プライベートドメインにおけるメンバー資格を与えられる。 Finally, the client is given a membership in the private domain.

ここで、同一の参照番号を始めから終わりまで同様のエレメントを参照するために使用し、図面を参照する。 Here, we used to refer to like elements until the end the same reference numbers from the beginning, referring to the drawings. 以下の記載において説明のために、特定の多くの詳細を、その徹底的な理解を提供するために詳細に説明する。 For purposes of explanation in the following description, numerous details of particular are described in detail in order to provide the thorough understanding. しかしながら、これらの特定の詳細化をせずに新たな実施形態を実装し得ることは明白であり得る。 However, it may be apparent that may implement new embodiments without these specific details of. 他の実例においては、周知の構造及び装置を、その説明を円滑にするために、ブロック図形式で示す。 In other instances, well-known structures and devices, in order to facilitate a description thereof, shown in block diagram form.

まず図面を参照して図1には、ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)を例示する。 Figure 1 Referring first to the drawings, for managing domain membership, illustrates a system (100) to be mounted on a computer. システム(100)は、登録プロキシサーバー(106)を介しモバイルクライアント(102)をプライベートドメイン(104)に加入させるための仕組みを提供する。 System (100) provides a mechanism for causing the subscriber mobile clients (102) via the registration proxy server (106) in the private domain (104). プロキシ(106)は、(例えば携帯電話)モバイルクライアント(102)が作動するパブリックドメインと(例えば企業体の)プライベートドメイン(104)の間のインターフェースを提供する。 Proxy (106) provides an interface between, such as a mobile phone and a public domain mobile client (102) is activated (e.g., business entity) private domain (104). この実装において、ドメイン加入は、モバイルクライアント(102)のユーザーによって提供されるユーザー名及びパスワード形式のユーザー信用証明書に基づいている。 In this implementation, the domain subscription is based on the user credentials of the user name and password format provided by the user of the mobile client (102). プロキシ(106)は、ユーザー名及びパスワードを与えられ、クライアント(102)をドメイン(104)に加入させるために、ドメイン(104)に対するクライアント(102)の代わりをする。 Proxy (106) is given a username and password, in order to join client (102) to the domain (104), the place of the client (102) to the domain (104).

その支援において、プロキシ(100)は、モバイルクライアント(102)からユーザー信用証明書を受信し、ユーザー信用証明書をプロキシ(106)の認証コンポーネント(110)と通信させるためのブートストラップコンポーネント(108)を含む。 In its support, proxy (100) receives the user credentials from the mobile client (102), the bootstrap component for to communicate with the authentication component of the user credentials proxy (106) (110) (108) including. 認証コンポーネント(110)は、その後、クライアント(102)の代わりにプライベートドメインに対する認証を実行し、ユーザー信用証明書に基づいてプライベートドメインにおけるマシンアカウントを生成する。 Authentication component (110), then authenticates to the private domain on behalf of the client (102), to produce a machine account in the private domain based on the user credentials. 以下の実装において、使用されるワンタイムパスワード(OTP)又は単一利用個人識別番号(PIN)を使用するためのリクエストは、存在しない。 In the following implementation, a request for using the one-time password used (OTP) or a single use personal identification number (PIN) is not present.

図2には、ドメインに対するメンバー資格を管理するための代替手段であって、更に堅牢なシステム(200)を例示する。 2 shows, a alternative for managing the membership for the domain, illustrates yet robust system (200). 以下は、高度なシステムオペレーションに関する説明で始めて、エンティティ間のプロセスの詳細な説明を続ける。 Hereinafter, starting in the description about the advanced system operation is continued detailed explanation of the process between the entities.

システム(200)は、(例えば、モバイル、携帯用計算機)装置(202)をプライベートドメイン(104)に加入させるための2段階の処理を円滑にする。 System (200) (e.g., mobile, portable computer) to facilitate a two stage process to join device (202) in the private domain (104). 第1段階は、本明細書において、以下「基本」信用関係として参照される装置(202)とプロキシ(106)の間の信用関係を生み出すことに関する。 The first step, as used herein, relates to creating a trust relationship between the device (202) and the proxy (106), referred to as the "base" trust relationship. 基本信用関係は、それ自体が2つの部分プロセスであって、処理装置(202)は、プロキシ(106)が的確なプロキシであることを確証し、プロキシ(106)は、装置(202)がドメイン(104)に対する接続を許可されていることを確証する。 Basic trust relationship is a two-part process itself, processing unit (202) is to confirm that the proxy 106 is the correct proxy, proxy (106), the device (202) the domain It confirms that are allowed to connect for (104). 一旦、確立されると、基本信用関係は、もはやプロキシ(106)を必要としない。 Once established, the basic trust relationship does not require anymore proxy (106). 第2段階は、本明細書において、以下「完全」信用関係として参照される装置(202)とプライベートドメイン(104)の間の信用関係を生み出す。 The second stage, herein, the trust relationship between the "full" credit device, referred to as the relationship (202) and the private domain (104) yields. 同様に、一旦、確立されると、完全信用関係は、もはやプロキシ(106)を必要としない。 Similarly, once established, full trust relationship does not require anymore proxy (106).

システム(200)の動作は、図1のシステム(100)において使用されるユーザー信用証明書ではなくて、OTP(又はPIN)のような別のタイプの信用証明書に基づいている。 Operation of the system (200), rather than the user credentials to be used in the system of FIG. 1 (100) is based on another type of credential, such as OTP (or PIN). この説明のために、ユーザーは、プライベートドメイン(104)との以前の対話に関連付けられたOTPを提供されていて、ユーザー及びプライベートドメイン双方が、同一の信用証明書を共有していると仮定している。 For purposes of this description, the user is offered the OTP associated with previous interaction with the private domain (104), the user and the private domain both, assuming that share the same credential ing. ユーザー装置がOTPを取得する手段は、従来の任意の安全又は安全でない仕組みによるものであり得る。 It means for the user apparatus acquires the OTP may be by any conventional safety or unsafe mechanism. ユーザー装置もドメインいずれもOTPを提供(又はアクセス)し得ない場合、そのドメイン加入操作が終了する。 If the user device nor any domain not provide OTP (or access), the domain join operation is completed.

通常、対話は、装置(202)からプロキシ(106)に対する基本信用関係の確立によって始まる。 Usually, interaction begins apparatus (202) by establishing a basic trust relationship to the proxy (106). 装置(202)は、プロキシ(106)が的確なプロキシであることを保証するためのチェックをする。 Device (202) is a check to ensure that the proxy 106 is the correct proxy. これは、プロキシ(106)に法人信用情報に関するリクエストを送信する装置によって達せられる。 This is accomplished by a device for transmitting a request for corporate credentials to the proxy (106). プロキシ(106)は、信用情報の署名ハッシュも暗号化して生成し得、ハッシュは、既に定義されているOTPから導出されるキーを使用し生成される。 Proxy (106) may generate and also encrypts the signature hash credit information, the hash is already using a key derived from the OTP defined product. OTPを使用し装置(202)に同一のハッシュを生成することによって、装置(202)は、プロキシ(106)が基本信用関係を確立するための「的確」なプロキシであることを検証し得る。 By generating the same hash using OTP device (202), apparatus (202) may verify that proxy (106) is a proxy for "precise" for establishing the basic trust relationship. プロキシ(106)がこの信用証明書サーバーにアクセスできない場合、プロキシ(106)は、基本信用関係の確立のための「的確」なプロキシでなくて、プロセスが終了する。 If the proxy (106) does not have access to this credit certificate server, proxy (106), not a proxy for "accurate" for the establishment of the basic trust relationship, the process is terminated.

一旦、装置(202)からプロキシ(106)に対する第1の基本信用関係部が確立されると、第2の基本信用関係部は、その後、装置(202)がプライベートドメイン(104)に加入を許可され得る装置かチェックする、プロキシ(106)を含む。 Once allowed the first part of the basic trust relationship to the proxy from the device (202) (106) is established, the second part of the basic trust relationship is then a joining device (202) is in the private domain (104) device or to check that may be, including the proxy (106). 一旦、この双方向の基本信用関係が、装置(202)とプロキシ(106)の間に確立されると、プロキシ(106)は、信用証明書を取得するために、装置(202)の代わりに動作し、装置は、その後、アクセス可能なマシンアカウントを生成する。 Once the basic trust relationship between the two-way, when it is established between the device (202) and the proxy (106), the proxy (106) in order to get the credentials in place of the apparatus (202) work, the device, then, to generate an accessible machine account. これは、マシンアカウント(206)をホスティングするためのドメインデータストア(204)及び確立される完全信用関係に関する信用証明書を発行するためのドメイン認証機関(208)の使用を含む。 This involves the use of machine account (206) domain data store (204) for hosting and established completely trusted domain certificate authority for issuing credentials on the relationship (208).

プロセスの更に詳細な説明を続ける前に、一定の情報が、ユーザーに提供されているOTPに基づいてドメイン(104)に(例えばデータストア(204)に)生成され、ドメイン(104)にもストアされることを理解されよう。 Before continuing with the more detailed description of the process, certain information, based on the OTP that is provided to the user domain (104) (e.g., the data store (204)) are generated, stored in the domain (104) it will be appreciated is that is. 以下、OTP、OTPから取得される暗号化キー、装置のマシンアカウント(206)に関する名前、装置(202)の所有者に対するリファレンス(例えば所有者のデータストアアカウント識別子)、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナ識別子、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー符号化(例えばHMACハッシュマシン認証コード)ダイジェスト、及びマシンアカウント(206)の情報が、ドメインに生成され存続されている。 Below, OTP, encryption key, which is obtained from the OTP, the name on the machine account of the device (206), (data store account identifier, for example, the owner) a reference to the owner of the device (202), apparatus machine account of (206) target container identifier in the data store (204) relating to the user identification string hashing key coding (eg owner's email address of the device) (e.g. HMAC hash machine authentication code) digest is derived using the encryption key , and the information of machine account (206) are surviving generated domain. データストア(204)は、ファイル、データベース、アプリケーションパーティションなどであり得る。 Data store (204), file, database, and the like application partition. 例えば、ダイジェストは、ユーザーログインID又は単語「anonymous」のような任意の暗号化種もあり得ることに留意されたい。 For example, digest, it should be noted that there may be any of the encryption species, such as user login ID or the word "anonymous".

一般に、前述されたような登録は、プロキシ(106)の信頼性を検証する装置(202)によって第1の基本信用関係部を確立することを含む。 In general, the registration as aforesaid, includes establishing a first part of the basic trust relationship by a device for verifying the reliability of the proxy (106) (202). これを達成するために、装置(202)は、ウェブサービスを呼び出すことによって、プロキシ(106)にHMACダイジェストを渡す。 To achieve this, the device (202) by calling a Web service, and passes the HMAC digest to the proxy (106). このウェブサービスは、チャネル暗号化のためにセキュアソケットレイヤー(SSL)を使用するが、まだSSL認証を使用しない。 This web service is to use the Secure Socket Layer (SSL) for channel encryption, still do not use SSL authentication. プロキシ(106)は、その後、データストア(204)から既にストアされている暗号化キーをリトリーブし、プロキシのSSL信用証明書チェーン信用済ルートドメイン信用証明書のHMACダイジェストを生成するために、その暗号化キーを使用する。 Proxy (106), then, in order to retrieve an encryption key from the data store (204) has already been stored, generating a HMAC digest proxy SSL credential chain credit already root domain certificate, the using the encryption key. このHMACダイジェストは、対応するルートドメイン信用証明書と共に装置(202)に渡され、HMACダイジェストは、既に導出された暗号化キーを使用し、プロキシ(106)によって正しく計算されていることを検証する。 The HMAC digest is passed to a device with corresponding root domain certificate (202), HMAC digest, using an encryption key that has already been derived, to verify that it is correctly calculated by the proxy (106) .

一旦、装置(202)は、ドメイン信用証明書が上記仕組みに従って信用され得ることを決定すると、装置(202)は、今度は、暗号化チャネルを用いたSSLサーバー完全信用証明書を使用し、同一のプロキシ(106)に再接続する。 Once the device (202), the domain certificate decides to be trusted according to the above mechanism, device (202), in turn, uses the SSL server full credential using encrypted channel, the same to reconnect to the proxy (106). 装置(202)は、サーバーSSL信用証明書が、信用が既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために再接続される。 Device (202), the server SSL credentials are re-connected in order to verify that it is contrary to the appropriate link (or chain) to domain certificate credit has already been determined. 装置(202)は、その後、既に計算されている暗号化キーを使用し導出された信用証明書リクエストのHMACダイジェストと共に信用証明書リクエスト(例えば公開鍵暗号化標準(PKCS)No.10)を提出する。 Apparatus (202) is, then, already submitted the calculated using the encryption key is derived credential request HMAC digest along with the credit certificate request (for example, a public key encryption standard (PKCS) No.10) to. (PKCS#10標準信用証明書リクエストは、信用証明書の公開鍵をリクエストするために認証機関に送信されるメッセージ用フォーマットである。)プロキシ(106)は、信用証明書リクエストのHMACダイジェストが、既に導出された暗号化キーを使用して提供された信用証明書リクエストから取得されることを検証し、それによって装置(202)を認証する。 (PKCS # 10 standard credentials request, credit is a message format transmitted the public key to the certification authority to request a certificate.) Proxy (106), HMAC Digest credential request, already verified to be acquired encryption key derived from the credential request provided by using, thereby authenticating the device (202).

プロキシ(106)は、その後、データストア(204)(例えばActive Directory)に新しいマシンアカウント(206)を生成するために、HMACダイジェストにリンクされているデータストア情報(図3の情報(304))を使用する。 Proxy (106), then the data store (204) (e.g. Active Directory) to generate a new machine account (206), the data store information linked to HMAC digest (information shown in FIG. 3 (304)) to use. 新しいマシンアカウント(206)は、認証コンポーネント(110)によってログインされ、ログインの間、認証機関(208)に信用証明書リクエストを提出するために使用される。 The new machine account (206) is authenticated login by the component (110), during the login, which is used to submit a credit certificate request to the certification authority (208). 発行された信用証明書が、その後、リトリーブされ、装置(202)に返却される。 Issued the credentials, then it is retrieved and returned to the device (202).

新たな機能のいくつかをまとめて、登録プロキシ(106)は、装置(202)に対するドメイン加入操作をエミュレーションする。 Summarizes some of the new functions, the registration proxy 106 emulates the domain join operation for the device (202). 加入操作は、ワンタイムパスワードに基づいており、したがって、ユーザー識別情報を危険に晒すリスクがない。 Subscription operation is based on the one-time password, and therefore, there is no risk to endanger the user identification information. 更に、登録プロキシ(106)は、企業(又は法人)データストアに新しいマシンアカウントを追加するためにドメインに対する最小限のアクセスレベルを必要とするだけである。 In addition, the registration proxy (106), only requires a minimum level of access to the domain in order to add a new machine account to the company (or corporation) data store. 更に、登録プロキシ(106)は、ユーザーアカウントの追加も既存アカウントの所有権を取得するための権限も付与されない。 Furthermore, the registration proxy (106) also not granted permission for additional user accounts also take ownership of an existing account. クライアント装置(202)とプロキシ(106)の間に生み出された基本信用関係は、最終的に、装置(202)とプライベートドメイン(104)の間に完全信用関係を確立するために、プロキシ(106)によって使用される。 Basic trust relationship that has been created between the client device (202) and the proxy (106) Finally, in order to establish device (202) completely trust relationship between the private domain (104), the proxy (106 ) it will be used by. マシン識別が、ドメインデータストア又はディレクトリ(例えばマイクロソフト社によるアクティブディレクトリ(登録商標))にストアされ得、装置(202)が、プライベートドメイン(104)メンバーとして、それ自体を認証可能にする署名済公開信用証明書(例えばX.509)を受信する。 Machine identification, obtained is stored in the domain data store or directory (e.g. Active Directory by Microsoft Corporation (registered trademark)), device (202) is, as a private domain (104) members, signed public to allow authenticate itself to receive credit certificate (for example, X.509).

任意の実施形態において、OTPは、ハードウェア特有である固有の装置識別子(ID)と組み合わせて使用され、プロキシ(106)に渡された識別情報は、OTP及び装置ID双方を含む。 In any embodiment, OTP is used in combination with the hardware-specific and is unique device identifier (ID), identification information passed to the proxy (106) includes both OTP and equipment ID. これによって、ユーザーが有し得る別のモバイル装置、又は異なるユーザーによって異なる装置で使用され得る別のモバイル装置、を用いたOTPは使用できない。 Thus, another mobile device user may have, or different another mobile device that may be used in different devices by a user, using the OTP can not be used. 一実装において、OTPの最初の処理に基づいて、装置(202)とプロキシ(106)の間の基本又は完全信用プロセスは、装置IDを包含するように地位を上げられ得、その後、装置(202)に関する好都合又は不都合いずれかの信用プロセスを完了する。 In one implementation, obtained based on the first processing OTP, basic or full credit process between devices (202) and the proxy (106) is raised to position to include device ID, then device (202 ) relates convenient or inconvenient completing any credit process.

図3には、ドメインデータストア(204)に存続している少なくともブートストラップ及び認証目的のための情報を例示する。 FIG 3 illustrates the information for at least bootstrap and authentication purposes and persist domain data store (204). 以下の説明は、(例えば携帯電話)モバイル装置(300)の文脈である。 The following description is context (e.g. cellular phone) mobile device (300). しかしながら、PDA及びタブレット型PCのような携帯用計算機及び他の無線装置が、開示されたドメイン登録アーキテクチャの利点を取得し得ることを理解されよう。 However, portable computers and other wireless devices, such as PDA and tablet PC is, it will be understood that it is possible to get the benefits of the disclosed domain registration architecture.

ブートストラッププロセスは、既に取得されたOTP(302)を有するユーザーのモバイル装置に基づく。 Bootstrap process is based on the previously mobile device user with the obtained OTP (302). 以下、図2の情報(304)である、OTP(302)、OTPから導出される暗号化キー、(モバイル装置(300)がそのドメインに対し「新しい」装置と見なされ、かくして装置(300)の以前のマシンアカウントが存在しない)装置のマシンアカウント(206)に関する名前、モバイル装置(300)の所有者に対するリファレンス(例えば所有者のデータストアアカウントの完全修飾ドメイン名(FQDN))、装置のマシンアカウント(206)に関するデータストア(204)における目標コンテナに対するリファレンス(例えばコンテナのFQDN)、上記暗号化キーを使用し導出されるユーザー識別文字列(例えば装置の所有者の電子メールアドレス)のハッシュキー(例えばHMAC)ダイジェスト、及びマシンア Hereinafter, the information of FIG. 2 (304), OTP (302), the encryption key derived from the OTP, (mobile device (300) is considered a "new" device for that domain, thus device (300) previous machine account does not exist) machine account of the device (the name on the 206), the fully qualified domain name of the data store account of reference (for example, the owner for the owner of the mobile device (300) (FQDN)), equipment of machines hash key account references to the target container in the (206) about the data store (204) (e.g., FQDN of the container), (owner's email address, for example, device) user identification string derived using said encryption key (eg HMAC) digest, and Mashin'a ウント(206)、がその後、生成され、仲介データストア(306)に存続している。 Und (206), but then, it is generated, and persist in mediating data store (306).

図4には、ドメインメンバー資格管理方法を例示する。 FIG 4 illustrates a domain membership management method. 説明を単純化するために、1つ以上の方法論が、例えば、流れ図又は流れ図形式で本明細書に示され一連の動作として説明されているが、動作の中には、それらに従って本明細書に示され説明されているものと異なる順番及び/又は他の動作と同時に発生し得るものもあるように本方法論が、動作の順序に制限されないことを理解され、十分に評価されよう。 To simplify the explanation, the one or more methodologies, for example, has been described as a series of operations illustrated herein in the flowchart or flow diagram format, in operation, herein according to their shown from what is described order and / or other acts also as the methodology that can occur simultaneously, be understood that it is not limited to the order of operation, it will be fully evaluated. 例えば、当業者は、方法論が代替として状態ダイヤグラムのような相関する一連の状態又は事象として提示され得ることを理解され、十分に評価されよう。 For example, those skilled in the art, is to be understood that the methodology can be presented as a series of states or events correlates such as state diagram alternatively, will be fully evaluated. 更に、例示された動作すべてが、新たな実装のために必要とされ得るわけではない。 Furthermore, all illustrated acts may not be required for a new implementation.

(400)において、ドメインに加入するための(例えばOTP)信用証明書が、モバイル装置から受信され、信用証明書は、無線インターフェースを介し、ドメインのプロキシサーバーによって受信される。 In (400), (e.g. OTP) credentials to join the domain is received from the mobile device, credential, via a radio interface, it is received by the domain of the proxy server. (402)において、信用関係が、信用証明書に基づいて、モバイル装置とプロキシサーバーの間に確立される。 In (402), trust relationship is based on the credentials, is established between the mobile device and the proxy server. (404)において、マシンアカウントが、信用関係に基づいてプロキシサーバーを介し、モバイル装置に関してそのドメインに生成される。 In (404), the machine account, via a proxy server based on the trust relationship is created in that domain with a mobile device. (406)において、モバイル装置が、マシンアカウントに基づいて、ドメインに加入される。 In (406), mobile device, based on machine account, it is join the domain.

図5には、信用関係及び認証プロセスの確立を支援するデータのデータストアへの存続方法を例示する。 FIG 5 illustrates the survival process of the data store of the data to support the establishment of a trust relationship and the authentication process. (500)において、OTPが、他の手続き又はプロセスに従ってユーザーのモバイル装置に生成され割り当てられた後、プロキシが、データストアにOTP及び暗号化キーを存続している。 In (500), OTP is, after being assigned generated user's mobile device in accordance with other procedures or processes, the proxy persists the OTP and encryption key to the data store. (502)において、プロキシが、マシンアカウントに関する名前をデータストアに存続している。 In (502), the proxy persists the name on the machine account to the data store. (504)において、プロキシが、装置に対するリファレンス(例えばユーザーの身元を識別する情報)をデータストアに存続している。 In (504), the proxy persists reference (for example, information identifying the user's identity) to the device in a data store. (506)において、プロキシが、装置のマシンアカウントの目標コンテナのFQDNをデータストアに存続している。 In (506), the proxy persists the FQDN of the target container of machine account of the device to the data store. (508)において、プロキシが、上記の暗号化キーを使用して、暗号化種のハッシュキー符号ダイジェストをデータストアに存続している。 In (508), the proxy using the above encryption key, the surviving hash key code digest of the encrypted seed to the data store.

図6には、プロキシサーバーを認証するために装置による認証情報の生成方法を例示する。 Figure 6 illustrates a method of generating the authentication information by the device to authenticate the proxy server. (600)において、装置が、既に取得されているOTPに基づいて登録プロキシを介しプライベートドメインに対するアクセスを開始する。 In (600), apparatus, starts access to the private domain via the registration proxy based on OTP already acquired. (602)において、装置が、ユーザー装置にユーザーアカウント情報及びOTPに関してプロンプトする。 In (602), apparatus, prompts regarding the user account information and OTP to the user device. (604)において、装置が、OTPを使用し暗号化キーを生成する。 In (604), apparatus generates an encryption key using the OTP. (606)において、装置が、暗号化キーを使用しユーザーアカウント情報のハッシュキー符号(例えばHMAC)ダイジェストを生成する。 In (606), apparatus, using an encryption key to generate a hash key code (e.g. HMAC) digest of user account information.

図7には、プロキシ認証による(例えば携帯電話)装置の登録方法を例示する。 Figure 7 illustrates a method of registering with a Proxy Authentication (e.g. a mobile phone) device. (700)において、プロキシが意図されているネットワークエンティティであることを保証するために、プロキシ認証の装置を起動する。 In (700), to ensure that a network entity proxy is intended to activate the device for proxy authentication. (702)において、装置が、一般的な暗号化種(例えばユーザーアカウント又は別のユーザー識別情報)を使用し、ハッシュキー符号ダイジェスト形式の装置識別を生成する。 In (702), apparatus, using general encryption species (e.g. a user account or another user identity) to generate a device identification of the hash key code digest form. (704)において、装置が、その後、プロキシにダイジェストを送信するために、チャネル暗号化を採用しているウェブサービスを呼び出す。 In (704), apparatus, then, to send the digest to the proxy, invokes a web service that employs the channel encryption. ウェブサービスは、暗号化チャネル用SSLを使用し得るが、まだSSL認証を使用しない。 Web service, but may be used for SSL encryption channel, still do not use SSL authentication. (706)において、プロキシが、その後、既にストアされている暗号化キーをデータストアからリトリーブする。 In (706), the proxy then retrieve an encryption key that is already stored from the data store. (708)において、プロキシが、サーバーSSL信用証明書チェーンのルート信用証明書のハッシュキー符号ダイジェスト(例えばHMAC)を生成する。 In (708), the proxy generates a hash key code digest of root credentials server SSL credential chain (e.g. HMAC). (710)において、プロキシが、ルート信用証明書及びルート信用証明書ダイジェストを装置に送信する。 In (710), the proxy sends the root credentials and root credentials digest to the device. (712)において、装置は、ダイジェストが、ルート信用証明書を使用し、既に導出されている装置暗号化キーを使用し、プロキシによってダイジェストを再計算することによって正しく計算されたことを検証する。 In (712), the device, digest, using the root credentials, using the apparatus encryption key that has already been derived, to verify that it has been correctly calculated by recalculating the digest by the proxy. 一旦、検証されると、装置は、ここでクライアントが通信を所望する意図されたネットワークエンティティとしてそのプロキシを信用する。 Once verified, the device is now the client trusts the proxy as intended network entity wishes to communicate.

図8には、プロキシに対するクライアント認証方法を例示する。 Figure 8 illustrates a client authentication method for the proxy. 一旦、装置がプロキシを認証すると、プロキシが順番に装置を認証する。 Once the device to authenticate the proxy, the proxy to authenticate the device to the order. (800)において、装置は、プロキシのSSL信用証明書が、信用されていることを既に決定されているドメイン信用証明書に逆に適切にリンク(又はチェーン)していることを検証するために、チャネル暗号化(例えばSSL)及びサーバーの完全信用証明書を使用し、プロキシに再接続する。 In (800), the device, because the SSL credentials of the proxy to verify that it is properly link (or chain) reversed that the domain certificate that has already been determined that the credit , using channel encryption (e.g. SSL) and fully credentials server, re-connect to the proxy. (802)において、装置が、その後、既に計算されストアされている暗号化キーを使用し導出されるハッシュキー符号化ダイジェスト(例えばHMAC)ダイジェスト信用証明書リクエストと共に信用証明書リクエストを提出する。 In (802), apparatus, then already submitted credentials request with the calculated the stored and are hash key coding digests using derive the encryption key (e.g., HMAC) digest credentials request. (804)において、プロキシが既に導出された暗号化キーを使用して、信用証明書リクエストのダイジェストが提供された信用証明書リクエストから導出されていることを検証する。 In (804), to verify that the proxy is already using the derived encryption keys are derived from the credential credential request digest was provided in the request. (806)において、首尾よく検証されたとき、プロキシが装置を認証している。 In (806), when successfully verified, the proxy is authenticating device.

図9には、装置及びプロキシ認証後のドメイン信用証明書の取得方法を例示する。 FIG 9 illustrates a method of obtaining device and domain certificate after proxy authentication. (900)において、プロキシが、識別情報ダイジェストにリンクされているデータストア情報をリトリーブする。 In (900), the proxy retrieves the data store information linked to the identification information digest. (902)において、プロキシが、データストアに新しいマシンアカウントを生成するために、データストア情報を使用する。 In (902), the proxy, in order to generate a new machine account to the data store, use a data store information. (904)において、プロキシが、新しいマシンアカウントにログインする。 In (904), proxy, log in to the new machine account. (906)において、プロキシが、装置から受信された信用証明書リクエストを認証機関に提出する。 In (906), the proxy submit credentials request received from the device to the certification authority. (908)において、認証機関が、装置識別に基づいて署名済ドメイン信用証明書を発行する。 In (908), certification authority issues a signed domain certificate based on the device identification. (910)において、プロキシが、発行されたドメイン信用証明書を受信し、装置に送信する。 In (910), the proxy receives the issued domain certificate, is transmitted to the device. 装置は、ここでドメインサービスに対する完全アクセス手段を有する。 Device, here having full access means to the domain service.

対象アーキテクチャの意図するところにおいては、信用証明書を取得するためのデリゲートされた権利不足に基づいた信用証明書を取得するための仕組みが、企業サービスのためのプライベートドメインにアクセスしようとする装置に対し多大な利益を提供する。 In the intention of the target architecture, a mechanism for obtaining the credit certificate based on the delegated lack rights to obtain a credit certificate, the device tries to access the private domain for the enterprise service to provide a great deal of profit against.

装置の代わりに信用証明書を取得するための従来のプロキシメカニズムは、プロキシが、装置からのパスワードをリクエストし、認証機関にパスワードを送信し、認証機関から署名済証書を受信し、その後、署名済証書を装置に転送することによって、装置を代行することである。 Traditional proxy mechanism for obtaining credentials instead of device, proxy, requesting a password from the device, and sends the password to the certificate authority, and receives a signed certificate from a certificate authority, then the signature by transferring the already certificate to the apparatus is to act for device.

本明細書に記載されているような「リバースデリゲーション」として考えられ得る従来のプロキシメカニズムに対する新たな代替手段が、新しいマシンアカウントに関連する信用証明書を取得し、その後、認証プロセスの終わりにおいて、アカウントの所有権を譲渡し、それによってドメインサービスに対する完全アクセスを信用証明書の受取人、この場合、装置に提供することである。 In the new alternative to conventional proxy mechanism that may be considered as a "reverse delegation" as described herein obtains the credentials associated with the new machine account, then the end of the authentication process, the transfer of ownership of the account, it by the recipient of the credit certificate full access to the domain service, in this case, is to provide the apparatus.

図10には、計算機に実装されるドメイン登録用信用証明書の取得方法を例示する。 Figure 10 illustrates a method of obtaining domains will registration credential computer-implemented. (1000)において、プロキシの権限が、新しいマシンアカウントの生成だけに制限される。 In (1000), a proxy of authority is limited only to the creation of a new machine account. (1002)において、プロキシが、OTPに関連するプロビジョニング情報に基づいて構成ディレクトリにモバイル装置に関する任意のマシンアカウントを生成する。 In 1002, the proxy generates any machine account for mobile device configuration directory on the basis of the provisioning information associated with the OTP. (1004)において、プロキシが、ドメインの認証機関からの信用証明書をリクエストする。 In (1004), the proxy, to request a credit certificate from the certification authority of the domain. (1006)において、プロキシが、信用証明書リクエストのハッシュダイジェストを使用し、信用証明書のリクエスト計算を検証する。 In (1006), the proxy, using a hash digest of credit certificate request, to verify the request calculation of credit certificate. (1008)において、プロキシが、認証機関から署名済クライアント信用証明書を受信する。 In (1008), the proxy receives a signed client credit certificate from a certificate authority. (1010)において、プロキシが、モバイル装置に署名済信用証明書を送信することによって、マシンアカウントの所有権をモバイル装置に移譲する。 In (1010), the proxy, by sending a signed credit certificate to the mobile device, to transfer the ownership of the machine account to the mobile device. (1012)において、プロキシが、署名済クライアント信用証明書をクライアントに送信後、マシンアカウントに対するアクセスを中止する。 In (1012), the proxy, after sending a signed client credit certificate to the client, to stop the access to the machine account.

このアプリケーションにおいて使用される用語「コンポーネント」及び「システム」は、計算機に関連する、エンティティ、ハードウェア、ハードウェアとソフトウェアの組み合わせ、ソフトウェア、又は実行中のソフトウェアのいずれかを参照することを意図している。 The term "component" and "system" as used in this application is related to the computer, intended entity, either hardware, a combination of hardware and software, software, or a reference to any software in execution ing. 例えばコンポーネントは、プロセッサーにおいて実行するプロセス、プロセッサー、ハードディスクドライブ、複数の(光学及び/又は磁気記憶媒体)記憶装置、オブジェクト、実行可能な実行スレッド、プログラム、及び/又は計算機であり得るがこれらに限定しない。 For example, a component may be, limited process, processor, hard disk drive, a plurality of (optical and / or magnetic storage medium) storage device, an object, an executable thread of execution, a program, and / or may be a computer, but these to be executed in the processor do not do. 例示として、サーバーで動作するアプリケーション及びサーバー双方はコンポーネントであり得る。 As illustrated, the application and the server both operate in the server can be a component. 1つ以上のコンポーネントが、実行プロセス及び/又はスレッド内部に常駐し得、コンポーネントが、1つの計算機において局所化され得るか及び/又は2つ以上の計算機の間において分散され得る。 One or more components, the execution process and / or resident to obtain a thread inside, components may be distributed between the one may be localized and / or two or more computers in one computer.

ここで図11を参照すると、安全でないプロビジョニング及びドメイン加入のエミュレーションを提供するために例示された作動可能な計算システム(1100)のブロック図がある。 Referring now to FIG. 11, there is a block diagram of the illustrated actuatable computing system to provide provisioning and emulated domain join unsafe (1100). その様々な機能に関する更なる文脈を提供するために、図11及び以下の論述は、様々な機能が実装され得る適切な計算システム(1100)の簡潔で一般的な説明を提供することを意図している。 To provide further context of its various functions, 11 and the following discussion are intended to provide a brief, general description of a suitable computing system in which various functions may be implemented (1100) ing. 上記説明は、1つ以上の計算機において動作し得る計算機が実行可能な命令に関する一般的な文脈であるが、当業者は、新たな実施形態が、他のプログラムモジュールと組み合わせて実装され得るか及び/又はハードウェアとソフトウェアの組み合わせとして実装され得ることを認めよう。 While the above description calculator operable in one or more computers is a general context of executable instructions, and whether the person skilled in the art, a new embodiment can be implemented in combination with other program modules / or admit that may be implemented as a combination of hardware and software.

一般にプログラムモジュールは、特定のタスクを実行するか又は特定の抽象データタイプを実装する、ルーチン、プログラム、コンポーネント、データ構造などを含む。 Generally, program modules or implement particular abstract data types that perform particular tasks include routines, programs, components, data structures. 更に当業者は、本発明の方法が、シングルプロセッサー又はマルチプロセッサーコンピューターシステム、ミニコンピューター、メインフレームコンピューター、及びパーソナルコンピューター、携帯用計算装置、マイクロプロセッサーベース又はプログラマブルコンシューマー電化製品、及び1つ以上の関連する装置と作動可能に接続され得るその他それぞれを含む他の計算機システム構成を用いて実施され得ることを理解されよう。 Further one skilled in the art, the method of the present invention, single-processor or multi-processor computer systems, minicomputers, mainframe computers, and personal computers, portable computing devices, microprocessor-based or programmable consumer electronics, and one or more associated it will be understood that apparatus and may be implemented using other computer system configurations, including other respectively, which can be operatively connected.

例示された機能は、いくつかのタスクが通信ネットワーク介し接続されているリモートプロセッシング装置によって実行される分散計算環境においても実施され得る。 Illustrated features, several tasks may also be practiced in distributed computing environments that are performed by remote processing devices that are over communication network connection. 分散計算環境において、プログラムモジュールは、ローカル及びリモート双方のメモリー記憶装置に配置され得る。 In a distributed computing environment, program modules may be located in both local and remote memory storage device.

計算機は、通常、様々な計算機可読媒体を含む。 Computer typically includes a variety of computer readable media. 計算機可読媒体は、計算機によってアクセスされ得る利用可能な任意の媒体であり得、揮発性媒体及び不揮発性媒体、取り外し可能媒体及び取り外し不可能媒体を含む。 Computer readable media can be any available media that can be accessed by a computer, including volatile and nonvolatile media, removable media and non-removable media. 制限ではなく例として、計算機可読媒体は、計算機記憶媒体及び通信媒体を含む。 By way of example, and not limitation, computer readable media may comprise computer storage media and communication media. 計算機記憶媒体は、計算機可読命令、データ構造、プログラムモジュール、又は他のデータのような情報の記憶に関する任意の方法又は技術で実装される揮発性及び不揮発性取り外し可能及び取り外し不可能媒体を含む。 Computer storage medium includes computer readable instructions, data structures, program modules, or any other method volatile and nonvolatile removable and non-removable media implemented in or technology relating to the storage of information, such as data. 計算機記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリー、又は他のメモリー技術、CD−ROM、デジタルビデオディスク(DVD)、又は他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置、又は他の磁気記憶装置、又は所望の情報をストアするために使用され得、計算機によってアクセスされ得る他の任意の媒体を含むがこれらに限定しない。 Computer storage media, RAM, ROM, EEPROM, flash memory or other memory technology, CD-ROM, digital video disk (DVD), or other optical disk storage, magnetic cassettes, magnetic tape, magnetic disk storage, or other magnetic storage devices, or desired information are used to to store obtained, or any other medium that can be accessed by the computer without limitation.

再び図11を参照すると、様々な機能を実装するための例示的な計算システム(1100)は計算機(1102)を含んでいて、計算機(1102)は、処理ユニット(1104)、システムメモリー(1106)及びシステムバス(1108)を含む。 Referring again to FIG. 11, exemplary computing system for implementing various functions (1100) include a computer (1102), computer 1102 including a processing unit (1104), system memory (1106) and a system bus (1108). システムバス(1108)は、処理ユニット(1104)に接続されるシステムメモリー(1106)含むがこれに限定しないシステムコンポーネントに対するインターフェースを提供する。 The system bus (1108) include, but system memory connected to the processing unit (1104) (1106) provides an interface to system components not limited thereto. 処理ユニット(1104)は、商用利用可能な様々な任意のプロセッサーであり得る。 The processing unit (1104) may be a commercially available variety of optional processors. デュアルマイクロプロセッサー及び他のマルチプロセッサーアーキテクチャも処理ユニット(1104)として使用され得る。 Dual microprocessors and other multiprocessor architectures also can be employed as the processing unit (1104).

システムバス(1108)は、更に(メモリーコントローラーの有無に関わらず)メモリーバス、周辺機器用バス、及び商用利用可能な様々な任意のバスアーキテクチャを使用してローカルバスと相互接続し得るいくつかのタイプの任意のバス構造であり得る。 The system bus (1108) further (with or without a memory controller) memory bus, a peripheral bus, and a number of which may be interconnected with a local bus using any of a variety of bus architectures commercial available It may be any of the bus structure of the type. システムメモリー(1106)は、読み出し専用メモリー(ROM)(1110)及びランダムアクセスメモリー(RAM)(1112)を含む。 System memory (1106) includes a read only memory (ROM) (1110) and random access memory (RAM) (1112). 基本的な入力/出力システム(BIOS)は、BIOSが、始動中など計算機(1102)内のエレメント間に情報を送信する支援をする基本的なルーチンを含むROM、EPROM、EEPROMのような不揮発性メモリー(1110)にストアされる。 The basic input / output system (BIOS), BIOS is, ROM containing the basic routines that help to transmit information between elements within, such as during start-up computer (1102), EPROM, volatile, such as an EEPROM It is stored in the memory (1110). RAM(1112)は、データをキャッシュするためのスタティックRAMのような高速RAMも含み得る。 RAM (1112) can also include a high-speed RAM such as static RAM for caching data.

計算機(1102)は更に、内蔵ハードディスクドライブ(1114)が、(示されていない)適切な筐体の中に外付け利用向けにも構成され得る内蔵ハードディスクドライブ(HDD)(1114)(例えばEIDE,SATA)、(例えば取り外し可能ディスケット(1118)から読み出すか又はそれに書き込む)磁気フロッピー(登録商標)ディスクドライブ(FDD)(1116)及び(例えばCD−ROMディスク(1122)から読み出すか又はそれに書き込むDVDのような別の高容量光媒体から読み出すか又はそれに書き込むための)光ディスクドライブ(1120)を含む。 Computer 1102 further internal hard drive (1114) is, (not shown) suitable internal hard disk drive may also be configured for external for use in the housing (HDD) 1114 (e.g. EIDE, SATA), (e.g., removable diskette (1118) writes read or it from) magnetic floppy disk drive (FDD) (1116) and (for example, a CD-ROM disk (1122) from the reading or the writing of a DVD it another high capacity optical read from the medium or for writing to) the optical disc drive as including (1120). ハードディスクドライブ(1114)、磁気ディスクドライブ(1116)、及び光ディスクドライブ(1120)は、ハードディスクドライブインターフェース(1124)、磁気ディスクドライブインターフェース(1126)、及び光ドライブインターフェース(1128)それぞれによって、システムバス(1108)に接続され得る。 Hard disk drive (1114), a magnetic disk drive (1116), and optical disk drive 1120 is a hard disk drive interface (1124), by the respective magnetic disk drive interface 1126 and an optical drive interface 1128, a system bus (1108 It may be connected to). 外付けドライブ実装用インターフェース(1124)は、ユニバーサルシリアルバス(USB)及びIEEE1394インターフェース技術のうち少なくとも1つ又はその双方を含む。 External drive mounting interface (1124) comprises at least one or both of Universal Serial Bus (USB) and IEEE1394 interface technologies.

ドライブ及びそれらに関連する計算機記憶媒体は、データ、データ構造、計算機実行可能命令など不揮発性記憶装置を提供する。 Drives and computer storage media associated with them, to provide data, data structures, nonvolatile storage, such as computer-executable instructions. 計算機(1102)に関するドライブ及び媒体は、適切な任意のデジタルフォーマットのデータストレージに適応している。 Drives and media related computer 1102 is adapted to the data storage any suitable digital format. 計算機可読媒体の上記の説明は、HDD、取り外し可能磁気ディスケット、及びCD又はDVDのような取り外し可能光媒体を参照しているが、ZIPドライブ、磁気カセット、フラッシュメモリーカード、カートリッジその他のような計算機によって別のタイプの可読媒体が、例示的な動作環境においても使用され得、更に、そのような任意の媒体が、開示された方法を実装するための計算機実行可能命令を含み得ることが当業者によって十分に理解されよう。 The foregoing description of computer-readable media, HDD, a removable magnetic diskette, and refer to a removable optical media such as a CD or DVD, ZIP drives, magnetic cassettes, flash memory cards, cartridges and other such computer another type of readable media by is obtained is also used in the exemplary operating environment, and further, that any such media, it is the person skilled in the art which may include computer-executable instructions for implementing the disclosed methods it will be well understood by.

オペレーティングシステム(1130)、1つ以上のアプリケーションプログラム(1132)、他のプログラムモジュール(1134)、及びプログラムデータ(1136)を含む多くのプログラムモジュールがドライブ及びRAM(1112)にストアされ得る。 Operating System (1130), one or more application programs (1132), other program modules 1134, and a number of program modules include program data (1136) can be stored in the drives and RAM (1112). オペレーティングシステム、アプリケーション、モジュール、及び/又はデータすべて又は一部もRAM(1112)にキャッシュされ得る。 Operating system, application may be cached in the module, and / or data, all or a portion also RAM (1112). 開示されたアーキテクチャが、商用利用可能な様々なオペレーティングシステム又はオペレーティングシステムの組み合わせを用いて実装され得ることを十分に理解され得よう。 Disclosed architecture is sought is well understood that that may be implemented using a combination of commercially available various operating systems or operating system.

アプリケーション(1132)及び/又はモジュール(1134)は、図1のプロキシサーバーのブートストラップ及び認証コンポーネント(108)及び(110)を含み得る。 Applications (1132) and / or module (1134) may include a bootstrap and authentication component of the proxy server of Figure 1 (108) and (110). システム(1100)がクライアント(102)である場合、アプリケーション(1132)及び/又はモジュール(1134)は、例えば暗号化キー及びハッシュキー符号化ダイジェストを生成するためのクライアントの処理能力を含み得る。 If the system (1100) is a client (102), the application (1132) and / or module (1134) may include, for example, the client processing power for generating the encryption key and hash key coding digest. 図1及び図2のドメイン(104)に関する文脈において、システム(1100)は、認証機関(208)、及び/又はデータストア(204)、及びマシンアカウント(206)を含み得る。 In the context of the related domain (104) FIGS. 1 and 2, the system (1100) the authentication authority (208), and / or data store (204), and may include a machine account (206).

ユーザーは、1つ以上の有線/無線入力装置、例えばキーボード(1138)、及びマウス(1140)のようなポインティング装置を介し計算機(1102)にコマンド及び情報を入力し得る。 Users may include one or more wired / wireless input devices, such as a keyboard (1138), and may enter commands and information into the pointing device through computer 1102, such as a mouse (1140). (示されていない)他の入力装置は、マイクロフォン、赤外線リモートコントロール、ジョイスティック、ゲームパッド、スタイラスペン、タッチスクリーンなどを含み得る。 (Not shown) other input devices may include a microphone, an IR remote control, a joystick, a game pad, a stylus pen, touch screen, or the like. これらの入力装置及び他の入力装置は、多くの場合、システムバス(1108)に接続されている入力装置インターフェース(1142)を介し、処理ユニット(1104)と接続されるが、パラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、赤外線インターフェースその他のような別のインターフェースによって接続され得る。 These and other input devices often via the connected input device interface (1142) to the system bus (1108), but is connected with the processing unit (1104), a parallel port, IEEE1394 serial port, game port, may be connected by a USB port, infrared interface other alternative interfaces, such as a.

モニター(1144)又は別のタイプの表示装置もビデオアダプター(1146)のようなインターフェースを介しシステムバス(1108)に接続される。 Monitor (1144) or another type of display device is also connected to the system bus (1108) via an interface, such as a video adapter (1146). 計算機は、通常、モニター(1144)に加え、スピーカー、プリンターのような(示されていない)別の周辺出力装置を含む。 Computer, typically, in addition to the monitor (1144), including a speaker, a like (not shown) by peripheral output devices of the printer.

計算機(1102)は、リモートコンピューター(単数又は複数)(1148)のような1つ以上のリモートコンピューターと有線通信及び/又は無線通信を介する論理的な接続を使用し、ネットワーク環境において作動し得る。 Computer 1102 uses a logical connection via remote computer (s) (1148) wired communication one or more remote computers and like and / or wireless communication may operate in a networked environment. リモートコンピューター(単数又は複数)(1148)は、ワークステーション、サーバーコンピューター、ルーター、パーソナルコンピューター、携帯用計算機、マイクロプロセッサーベースの娯楽機器、ピア装置、又は別の一般的なネットワークノードであり得、通常、計算機(1102)に関連する前述されたエレメントの大多数又はすべてを含むが、簡単化のためにメモリー/ストレージ(1150)だけを例示する。 Remote computer (s) (1148) may be a workstation, a server computer, a router, a personal computer, portable computer, microprocessor based entertainment appliance, a peer device or other common network node, and typically , computer (1102) to the associated including most or all of the foregoing have been elements, illustrated only memory / storage (1150) for simplicity. 示された論理接続は、ローカルエリアネットワーク(LAN)(1152)及び/又は更に大規模なネットワーク、例えば広域ネットワーク(WAN)(1154)との有線接続/無線接続を含む。 The logical connections depicted include wired / wireless connection with the local area network (LAN) (1152) and / or more larger networks, e.g., a wide area network (WAN) (1154). そのようなLAN及びWANネットワーク環境は、オフィス及び会社において一般的であって、イントラネットのような企業全体の計算機ネットワークを円滑にし、そのすべては、グローバル通信ネットワーク、例えばインターネットと接続し得る。 Such LAN and WAN networking environments are a commonplace in offices and companies, and facilitate enterprise-wide computer networks, such as intranets, all of which may connect to a global communications network, for example, the Internet.

LANネットワーク接続環境において使用されるとき、計算機(1102)は、有線及び/又は無線通信ネットワークインターフェース又はアダプター(1156)を介しローカルネットワーク(1152)に接続される。 When used in a LAN networking environment, computer 1102 is connected to the local network (1152) via a wired and / or wireless communication network interface or adapter (1156). アダプター(1156)は、無線アダプター(1156)と通信するために、それに配置される無線アクセスポイントも含み得るLAN(1152)との有線又は無線通信を円滑にし得る。 Adapter (1156) in order to communicate with the wireless adapter (1156) may facilitate wired or wireless communication with the LAN (1152), which may also include a wireless access point disposed thereon.

WANネットワーク環境において使用されるとき、計算機(1102)は、モデム(1158)を含み得るか又はWAN(1154)上の通信サーバーに接続され、インターネットのような方法でWAN(1154)を介して通信を確立するための別の手段を有する。 When used in a WAN networking environment, computer 1102 is connected to a communications server on or may comprise a modem (1158) WAN (1154), communicate over a WAN (1154) in a manner such as the Internet It has other means for establishing. 内蔵又は外付けであって有線又は無線装置であり得るモデム(1158)が、シリアルポートインターフェース(1142)を介しシステムバス(1108)に接続される。 Internal or external and a may be a wired or wireless device modem (1158) is connected to the system via the serial port interface (1142) bus (1108). ネットワーク接続環境においては、計算機(1102)又はその一部に関連し表示されているプログラムモジュールが、リモートメモリー/ストレージ(1150)にストアされ得る。 In a networked environment, computer 1102 or program modules that are displayed in connection with a part thereof, may be stored in the remote memory / storage (1150). 示されたネットワーク接続が例示的であって、計算機の間の通信リンクを確立するための他の手段が使用され得ることを十分理解されよう。 The indicated network connections are exemplary, it will be appreciated that other means of establishing a communications link between the computers may be used.

計算機(1102)は、無線通信を用いて作動的可能に配置される任意の無線装置又はエンティティ、例えば、プリンター、スキャナー、デスクトップ、及び/又は携帯用計算機、携帯用データアシスタント、通信衛星、任意の設備部品、又は無線で検出可能なタグに関連付けられた場所(例えばキオスク、新聞売店、トイレ)及び電話と作動可能に通信する。 Computer (1102) may be any wireless devices or entities operatively capable disposed by using the wireless communication, for example, printer, scanner, desktop and / or portable computer, portable data assistant, communications satellite, any equipment parts, or location associated with a wirelessly detectable tag (e.g., a kiosk, news stand, restroom), and operably communicate with the phone. これは、少なくとも無線(Wi−Fi)及びブルートゥース(登録商標)無線技術を含む。 This includes at least a wireless (Wi-Fi) and Bluetooth wireless technologies. このように通信は、少なくとも2つの装置の間の従来のネットワーク又は簡易なアドホック通信を用いるような所定の構造であり得る。 Thus communication can be a predefined structure as with conventional network or simple ad hoc communication between at least two devices.

無線又はワイヤレス・フェディリティは、自宅の寝椅子、ホテルルームのベッド、又は職場の会議室から無線でインターネットに対する接続を可能にする。 Radio or wireless Fediriti, the home of the couch, the hotel room of the bed, or from a conference room at work to enable connection to the Internet wirelessly. 無線は、そのような装置、例えば計算機が、携帯電話において使用されるものと同様の基地局の範囲内のどこでも屋内及び屋外にあるデータの送信及び受信を可能にする無線技術である。 Radio, such devices, for instance computer is everywhere wireless technology that allows transmission and reception of data in the indoor and outdoor within the same base station and those used in mobile phones. 無線ネットワークは、安全で信頼できる高速無線接続性を提供するためにIEEE802.11x(a,b,gなど)と呼ばれる無線通信技術を使用する。 Wireless network, IEEE 802.11x in order to provide a safe and reliable high speed wireless connectivity (a, b, g, etc.) using a wireless communication technology called. 無線ネットワークは、インターネット及び(IEEE802.3又はイーサネット(登録商標)を使用する)有線ネットワークと、相互に計算機を接続するために使用され得る。 Wireless networks (which use IEEE802.3 or Ethernet) Internet and a wired network may be used to connect computers to each other.

ここで図12を参照し、安全でないプロビジョニングを円滑にする例示的な計算環境(1200)及びドメイン加入エミュレーションの概略ブロック図を例示する。 Referring now to FIG. 12 illustrates a schematic block diagram of an exemplary computing environment (1200) and domain join emulation that facilitates provisioning unsafe. システム(1200)は、1つ以上のクライアント(1202)を含む。 System (1200) includes one or more client (1202). クライアント(1202)は、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。 Client (1202) can be hardware and / or software (e.g., threads, processes, computing devices). クライアント(1202)は、例えば、クッキー(単数又は複数)及び/又は関連するコンテキスト情報を格納する。 Client (1202), for example, stores the cookie (s) and / or associated contextual information.

システム(1200)も、1つ以上のサーバー(1204)を含む。 System (1200) also includes one or more server (1204). サーバー(1204)も、ハードウェア及び/又はソフトウェア(例えば、スレッド、プロセス、計算装置)であり得る。 Server 1204 can also be hardware and / or software (e.g., threads, processes, computing devices). サーバー(1204)は、本アーキテクチャを使用することによって、例えば変換を実行するためのスレッドを格納する。 Server (1204), by using the present architecture, for example, stores the threads to perform transformations. クライアント(1202)とサーバー(1204)の間の一可能な通信は、2つ以上の計算機プロセスの間に送信されるように適応したデータパケット形式であり得る。 Client and (1202) Single possible communication between a server (1204) may be adapted data packet format to be transmitted between two or more computers process. データパケットは、例えばクッキー及び/又は関連する文脈情報を含み得る。 The data packet, for example, may include a cookie and / or associated contextual information. システム(1200)は、クライアント(1202)とサーバー(1204)の間の通信を円滑にするために使用され得る(例えばインターネットのようなグローバル通信ネットワーク)通信フレームワーク(1206)を含む。 System (1200) includes a communication framework 1206 (a global communication network such as for example the Internet) communication may be used to facilitate between the client (1202) and the server (1204).

通信は、(光ファイバーを含む)有線技術及び/又は無線技術を介し円滑にされ得る。 Communications can be smoothly through (including optical fiber) cable technology and / or wireless technology. クライアント(1202)は、クライアント(1202)にローカル情報(例えば、クッキー(単数又は複数)及び/又は関連する文脈情報)をストアするために使用され得る1つ以上のクライアントデータストア(1208)と作動可能に接続される。 Client (1202) is activated when the local information to the client (1202) (e.g., cookie (s) and / or associated contextual information) 1 may be used to store one or more client data store (1208) It is connected. 同様にサーバー(1204)は、サーバー(1204)にローカル情報をストアするために使用され得る1つ以上のサーバーデータストア(1210)と作動可能に接続される。 Similarly server (1204) to is operatively connected to the server one or more server data store in 1204 may be used to store local information (1210).

図1の双方のクライアント(1202)は、プロキシサーバー(106)に対するアクセスを求めているクライアント(102)を含み得る。 Both the client of FIG. 1 (1202) may include a client (102) seeking access to the proxy server (106). 図2の双方のデータストア(204)及び認証機関(208)は、サーバー(1204)であり得、企業のバックエンドサーバーでもあり得る。 Both data store of Figure 2 (204) and the authentication authority (208) can be a server (1204), it can also be a company back-end server.

前述された内容は、開示されたアーキテクチャの例を含む。 Previously described contents includes examples of the disclosed architecture. コンポーネント及び/又は方法論に関して考えられ得るあらゆる組み合わせを説明することが、当然、不可能であるが、当業者は、更に多数の組み合わせ及び置換があり得ることを認め得よう。 It is described any possible combinations with respect to the components and / or methodologies, of course, but it is impossible, those skilled in the art to obtain recognized that there may be many more combinations and permutations. したがって、新たなアーキテクチャが、添付された請求項の趣旨及び範囲内に収まるような変更、修正及び変形のすべてを包含するように意図されている。 Therefore, a new architecture, attached spirit and changes as fall within the scope of the claims are intended to cover all modifications and variations. 更に、用語「含む」が、詳細説明又は請求項のいずれかにおいて使用される範囲内において、「から成る」が請求項において遷移的な言葉として使用されるときに解釈されるように、そのような用語は、用語「から成る」と同様に包括的であることを意図している。 Furthermore, the term "comprising" is, within the range used in either the detailed description or the claims, as interpreted when the "consisting of" is used as a transitional word in a claim such such terms are intended to be inclusive in a manner similar to the term "comprising".

100 ドメインメンバー資格管理システム 102 モバイルクライアント 104 プライベートドメイン 106 登録プロキシサーバー 108 ブートストラップコンポーネント 110 認証コンポーネント 200 ドメインメンバー資格管理システム 202 装置 204 ドメインデータストア 206 マシンアカウント 208 ドメイン認証機関 300 モバイル装置 302 ワンタイムパスワード(OTP) 100 domain membership management system 102 mobile clients 104 private domain 106 registered proxy server 108 bootstrap components 110 authentication component 200 domain membership management system 202 device 204 domain data store 206 machine accounts 208 domain certificate authority 300 the mobile device 302 one-time password ( OTP)
304 情報 306 仲介データストア 1100 計算システム 1102 計算機 1104 処理ユニット 1106 システムメモリー 1108 システムバス 1110 読み出し専用メモリー(ROM) 304 Information 306 mediated the data store 1100 computing system 1102 computer 1104 processing unit 1106 system memory 1108 system bus 1110 read-only memory (ROM)
1112 ランダムアクセスメモリー(RAM) 1112 random access memory (RAM)
1114 内蔵ハードディスクドライブ(HDD) 1114 built-in hard disk drive (HDD)
1116 磁気フロッピー(登録商標)ディスクドライブ(FDD) 1116 magnetic floppy disk drive (FDD)
1118 取り外し可能ディスケット 1120 光ディスクドライブ 1122 CD−ROMディスク 1124 ハードディスクドライブインターフェース 1126 磁気ディスクドライブインターフェース 1128 光ドライブインターフェース 1130 オペレーティングシステム 1132 アプリケーションプログラム 1134 他のプログラムモジュール 1136 プログラムデータ 1138 キーボード 1140 マウス 1142 入力装置インターフェース 1144 モニター 1146 ビデオアダプター 1148 リモートコンピューター 1150 メモリー/記憶装置 1152 ローカルエリアネットワーク(LAN) 1118 removable diskette 1120 optical disk drive 1122 CD-ROM disk 1124 hard disk drive interface 1126 and magnetic disk drive interface 1128 optical drive interface 1130 operating system 1132 application program 1134 other program modules 1136 program data 1138 keyboard 1140 mouse 1142 input device interface 1144 monitors 1146 video adapter 1148 remote computer 1150 memory / storage device 1152 local area network (LAN)
1154 広域ネットワーク(WAN) 1154 wide area network (WAN)
1156 無線通信ネットワークインターフェース又はアダプター 1158 モデム 1200 計算環境 1202 クライアント 1204 サーバー 1206 通信フレームワーク 1208 クライアントデータストア 1210 サーバーデータストア 1156 wireless communication network interface or adapter 1158 modem 1200 computing environment 1202 Client 1204 Server 1206 communications framework 1208 client data store 1210 server data store

Claims (20)

  1. ドメインメンバー資格を管理するための、計算機に実装されるシステム(100)であって、 For managing domain membership, a system (100) which is mounted in a computer,
    ドメインに対するアクセスを求めているモバイルクライアントからユーザー信用証明書を受信するためのドメインプロキシブートストラップコンポーネント(108)と、 From a mobile client for access to the domain and domain proxy bootstrap component for receiving user credentials (108),
    前記ユーザー信用証明書に基づいて前記ドメインに対し前記モバイルクライアントを認証するための前記プロキシの認証コンポーネント(110)と、を含むシステム。 System comprising an authentication component (110) of the proxy for authenticating the mobile client to the domain based on the user credentials.
  2. 前記ユーザー信用証明書が、ユーザー名又はパスワードのうち少なくとも1つを含むことを特徴とする請求項1記載のシステム。 The user credentials The system of claim 1, wherein the at least one of a user name or password.
  3. 前記認証コンポーネントが、前記ユーザー信用証明書に基づいて前記モバイルクライアントに関するマシンアカウントを生成することを特徴とする請求項1記載のシステム。 The authentication component system of claim 1, wherein generating a machine account regarding the mobile client based on the user credentials.
  4. 前記モバイルクライアントが、安全でない無線インターフェースを介し前記ユーザー信用証明書を通信する携帯電話であることを特徴とする請求項1記載のシステム。 The mobile client system of claim 1, wherein it is a cellular phone for communicating the user credentials via a wireless interface unsafe.
  5. 計算機に実装されるドメインメンバー資格管理方法であって、 A domain membership management method to be implemented in the computer,
    ドメインに加入するための信用証明書をモバイル装置から受信するステップであって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるもの(400)と、 The credentials to join the domain comprises the steps of receiving from a mobile device, the credential, which is received by the proxy server of the domain via a wireless interface and (400),
    前記信用証明書に基づいて前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するステップ(402)と、 A step (402) to establish a trust relationship between the proxy server and the mobile device based on the credential,
    前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するステップ(404)と、 Wherein based on the trust relationship through a proxy server, a step (404) for generating a machine account relating to the mobile device to the domain,
    前記マシンアカウントに基づいて前記モバイル装置を前記ドメインに加入させるステップ(406)と、の動作を含む方法。 Method comprising the step (406) to subscribe to the domain the mobile device based on the machine account, the operation of.
  6. 前記信用証明書が、ユーザー名、及びワンタイムパスワード(OTP)又は装置IDのうち少なくとも1つを含むことを特徴とする請求項5記載の方法。 Wherein the credentials, username, and a method according to claim 5, characterized in that it comprises at least one of the one-time password (OTP) or device ID.
  7. 更に、ウェブサービスを介し前記モバイル装置からの一般的な暗号化種のハッシュキー符号化ダイジェストを受信するステップを含む請求項5記載の方法。 Furthermore, the method of claim 5 further comprising the step of receiving a common hash key coding digest encryption species from the mobile device via a web service.
  8. 更に、チャネル暗号化を使用し、前記ウェブサービスから前記ハッシュキー符号ダイジェストを受信するステップを含む請求項7記載の方法。 Furthermore, using channel encryption method of claim 7, including the step of receiving the hash key code digest from the web service.
  9. 更に、暗号化キーに基づいて、前記プロキシサーバーでドメイン信用証明書のハッシュキー符号化ダイジェストを生成するステップを含む請求項5記載の方法。 Furthermore, based on the encryption key, The method of claim 5 further comprising the step of generating a hash key coding digest of domain certificate at the proxy server.
  10. 更に、前記モバイル装置によって検証するために、前記ハッシュキー符号ダイジェスト及び前記ルート信用証明書を前記モバイル装置に送信するステップと、前記モバイル装置による検証の成功に基づいて前記信用関係を確立するステップと、を含む請求項5記載の方法。 Furthermore, in order to verify by the mobile device, and transmitting the hash key code digest and the root credentials to the mobile device, the method comprising: establishing said trust relationship based on the success of the verification by the mobile device the method of claim 5 further comprising a.
  11. 更に、前記モバイルクライアントを、検証プロセスのために、チャネル暗号化を用いたサーバー完全信用証明書を使用して前記プロキシサーバーに再接続可能にするステップを含む請求項5記載の方法。 Moreover, the mobile client, for verification process method of claim 5 further comprising the step of allowing re-connect to the proxy server using the server full credential using encrypted channel.
  12. 更に、プロキシサーバー信用証明書が、完全信用関係に関連付けられているドメイン信用証明書へ逆にリンクしていることを検証するステップを含む請求項5記載の方法。 Furthermore, the proxy server credential The method of claim 5 further comprising the step of verifying that that link reversed to fully trust domain certificate associated with the relationship.
  13. 更に、登録プロセスの一部として前記モバイル装置に署名済ドメイン信用証明書をストアするステップを含む請求項5記載の方法。 Furthermore, the method of claim 5 further comprising the step of storing the signed domain certificate to the mobile device as part of the registration process.
  14. 更に、前記モバイルクライアントの代わりに前記マシンアカウントにログインするステップと、信用証明書リクエストを署名済証書に関する前記ドメイン認証機関に提出するステップを含む請求項5記載の方法。 Furthermore, the method comprising the steps of: log in to the machine account instead of the mobile client, method of claim 5, further comprising the step of submitting a credit certificate request to the domain certificate authority on the signed certificate.
  15. 前記署名済信用証明書が、前記モバイルクライアントに返却されることを特徴とする請求項14記載の方法。 The signed credentials The method of claim 14, characterized in that it is returned to the mobile client.
  16. 更に、OTP、前記OTPから導出される暗号化キー、新しいマシンアカウントに関する名前、前記クライアントの所有者に対するリファレンス、前記新しいマシンアカウントに関する目標コンテナの完全修飾ドメイン名、又は前記暗号化キーを使用して導出される一般暗号化種のハッシュマシン認証コード(HMAC)ダイジェスト、のうち少なくとも1つをドメインデータストアにストアするステップを含む請求項5記載の方法。 In addition, OTP, encryption key that is derived from the OTP, the name for the new machine account, a reference to the owner of the client, the fully qualified domain name of the target container on the new machine accounts, or by using the encryption key derived generally encrypted species hash machine authentication code (HMAC) digest method of claim 5 further comprising the step of storing at least one in the domain data store of the.
  17. 更に、前記加入操作後、前記モバイルクライアントに対する前記プロキシサーバーの支援を中止するステップを含む請求項5記載の方法。 Furthermore, after the ADD operation The method of claim 5 further comprising a step to stop the support of the proxy server for the mobile client.
  18. 前記信用関係が、プライベート信用関係であることを特徴とする請求項5記載の方法。 The trust relationship The method of claim 5, wherein it is a private trust relationship.
  19. 更に、ユーザー信用証明書ではなく、マシン識別信用証明書に基づいて、プライベートドメインである前記ドメインに前記モバイル装置を加入させるステップを含む請求項5記載の方法。 Furthermore, rather than user credentials based on the machine identification credentials The method of claim 5 further comprising the step of subscribing to the mobile device to the domain is private domain.
  20. モバイル装置からドメインに加入するための信用証明書を受信するために計算機に実装される手段(108)であって、前記信用証明書が、無線インターフェースを介し前記ドメインのプロキシサーバーによって受信されるものと、 And means mounted on the machine in order to receive the credentials to join from a mobile device to the domain (108) as said credential is received by the proxy server of the domain via a wireless interface When,
    前記信用証明書に基づいて、前記モバイル装置と前記プロキシサーバーの間に信用関係を確立するための計算機に実装される手段(110)と、 Based on the credentials, and means (110) mounted on the mobile device and the computer for establishing a trust relationship between the proxy server,
    前記プロキシサーバーを介し前記信用関係に基づいて、前記ドメインに前記モバイル装置に関するマシンアカウントを生成するための計算機に実装される手段(106)と、 Wherein based on the trust relationship through a proxy server, and means (106) to be mounted on a computer for generating a machine account relating to the mobile device to the domain,
    前記マシンアカウントに基づいて、前記ドメインに前記モバイル装置を加入させるための計算機に実装される手段(106)と、を含む計算機に実装されるシステム。 Based on the machine account system implemented in a computer including a means (106) to be mounted on a computer in order to join the mobile device to the domain.
JP2010514942A 2007-06-25 2008-06-11 Provisioning and domain join emulation of the device through the insecure network Pending JP2010531516A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US11821686 US20080320566A1 (en) 2007-06-25 2007-06-25 Device provisioning and domain join emulation over non-secured networks
PCT/US2008/066514 WO2009002705A3 (en) 2007-06-25 2008-06-11 Device provisioning and domain join emulation over non-secured networks

Publications (1)

Publication Number Publication Date
JP2010531516A true true JP2010531516A (en) 2010-09-24

Family

ID=40137911

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010514942A Pending JP2010531516A (en) 2007-06-25 2008-06-11 Provisioning and domain join emulation of the device through the insecure network

Country Status (6)

Country Link
US (1) US20080320566A1 (en)
EP (1) EP2171911A4 (en)
JP (1) JP2010531516A (en)
KR (1) KR20100029098A (en)
CN (1) CN101689991A (en)
WO (1) WO2009002705A3 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016510958A (en) * 2013-03-04 2016-04-11 セリンコ エス.エー.Selinko S.A. Secure e-commerce provides a method

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370905B2 (en) * 2010-05-11 2013-02-05 Microsoft Corporation Domain access system
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
US20120254949A1 (en) * 2011-03-31 2012-10-04 Nokia Corporation Method and apparatus for generating unique identifier values for applications and services
US9246882B2 (en) 2011-08-30 2016-01-26 Nokia Technologies Oy Method and apparatus for providing a structured and partially regenerable identifier
US8756651B2 (en) * 2011-09-27 2014-06-17 Amazon Technologies, Inc. Policy compliance-based secure data access
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US9722972B2 (en) * 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US8955075B2 (en) * 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US9129112B2 (en) 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
WO2014144939A1 (en) 2013-03-15 2014-09-18 Oracle International Corporation Security services management for computer applications by modifying their object code
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US20160254918A1 (en) * 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd Trust-zone-based end-to-end security
US9614835B2 (en) * 2015-06-08 2017-04-04 Microsoft Technology Licensing, Llc Automatic provisioning of a device to access an account
US9769153B1 (en) * 2015-08-07 2017-09-19 Amazon Technologies, Inc. Validation for requests

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189100B1 (en) * 1998-06-30 2001-02-13 Microsoft Corporation Ensuring the integrity of remote boot client data
JP2004537090A (en) * 2001-04-07 2004-12-09 セキュア データ イン モーション,インコーポレイテッド Union authentication service
US20040254890A1 (en) * 2002-05-24 2004-12-16 Sancho Enrique David System method and apparatus for preventing fraudulent transactions
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
WO2006019275A1 (en) * 2004-08-18 2006-02-23 Sk Telecom Co., Ltd. Method for providing contents in a mobile communication system and apparatus thereof
US7263619B1 (en) * 2002-06-26 2007-08-28 Chong-Lim Kim Method and system for encrypting electronic message using secure ad hoc encryption key

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5913025A (en) * 1996-11-14 1999-06-15 Novell, Inc. Method and apparatus for proxy authentication
US6591095B1 (en) * 1999-05-21 2003-07-08 Motorola, Inc. Method and apparatus for designating administrative responsibilities in a mobile communications device
DE60024319T2 (en) * 2000-02-08 2006-08-03 Swisscom Mobile Ag unified sign-on process
KR100468566B1 (en) * 2002-10-24 2005-01-27 에스케이 텔레콤주식회사 Integrated Authentication Method of TCP/IP Service via HTTP Proxy
ES2314256T3 (en) * 2002-11-08 2009-03-16 Research In Motion Limited Control system and method of connection for wireless mobile communication devices.
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US20050015499A1 (en) * 2003-05-15 2005-01-20 Georg Mayer Method and apparatus for SIP user agent discovery of configuration server
US7171555B1 (en) * 2003-05-29 2007-01-30 Cisco Technology, Inc. Method and apparatus for communicating credential information within a network device authentication conversation
JP4069388B2 (en) * 2003-09-16 2008-04-02 ソニー株式会社 The server device and the content server apparatus
EP1562343A1 (en) * 2004-02-09 2005-08-10 France Telecom System and method for user authorization access management at the local administrative domain during the connection of a user to an IP network
US7469139B2 (en) * 2004-05-24 2008-12-23 Computer Associates Think, Inc. Wireless manager and method for configuring and securing wireless access to a network
KR100587158B1 (en) * 2004-10-28 2006-06-08 에스케이 텔레콤주식회사 Method And Apparatus For Automatically Authentication at Wireless Internet
US8700729B2 (en) * 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
US20060282680A1 (en) * 2005-06-14 2006-12-14 Kuhlman Douglas A Method and apparatus for accessing digital data using biometric information
JP4792876B2 (en) * 2005-08-30 2011-10-12 株式会社日立製作所 Information processing apparatus and information processing method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189100B1 (en) * 1998-06-30 2001-02-13 Microsoft Corporation Ensuring the integrity of remote boot client data
JP2004537090A (en) * 2001-04-07 2004-12-09 セキュア データ イン モーション,インコーポレイテッド Union authentication service
US20040254890A1 (en) * 2002-05-24 2004-12-16 Sancho Enrique David System method and apparatus for preventing fraudulent transactions
US7263619B1 (en) * 2002-06-26 2007-08-28 Chong-Lim Kim Method and system for encrypting electronic message using secure ad hoc encryption key
US20040268148A1 (en) * 2003-06-30 2004-12-30 Nokia, Inc. Method for implementing secure corporate Communication
WO2006019275A1 (en) * 2004-08-18 2006-02-23 Sk Telecom Co., Ltd. Method for providing contents in a mobile communication system and apparatus thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016510958A (en) * 2013-03-04 2016-04-11 セリンコ エス.エー.Selinko S.A. Secure e-commerce provides a method

Also Published As

Publication number Publication date Type
CN101689991A (en) 2010-03-31 application
WO2009002705A2 (en) 2008-12-31 application
KR20100029098A (en) 2010-03-15 application
US20080320566A1 (en) 2008-12-25 application
EP2171911A2 (en) 2010-04-07 application
WO2009002705A3 (en) 2009-02-12 application
EP2171911A4 (en) 2014-02-26 application

Similar Documents

Publication Publication Date Title
US8387136B2 (en) Role-based access control utilizing token profiles
US20010020274A1 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
US20050021956A1 (en) Method and system for a single-sign-on operation providing grid access and network access
US20090119763A1 (en) Method and system for providing single sign-on service
US20070143860A1 (en) Networked identity framework
US20060048213A1 (en) Authenticating a client using linked authentication credentials
US20120084544A1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
US20060126848A1 (en) Key authentication/service system and method using one-time authentication code
US20100043056A1 (en) Portable device association
US20080059804A1 (en) Method and apparatus for providing trusted single sign-on access to applications and internet-based services
US6490679B1 (en) Seamless integration of application programs with security key infrastructure
US20090300744A1 (en) Trusted device-specific authentication
US20080072303A1 (en) Method and system for one time password based authentication and integrated remote access
US7299493B1 (en) Techniques for dynamically establishing and managing authentication and trust relationships
US7150038B1 (en) Facilitating single sign-on by using authenticated code to access a password store
US20080005339A1 (en) Guided enrollment and login for token users
US20050108575A1 (en) Apparatus, system, and method for faciliating authenticated communication between authentication realms
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
US7549048B2 (en) Efficient and secure authentication of computing systems
O’Malley et al. Hadoop security design
US20080289019A1 (en) Framework for automated dissemination of security metadata for distributed trust establishment
US20060282670A1 (en) Relying party trust anchor based public key technology framework
US20130205360A1 (en) Protecting user credentials from a computing device
US7350074B2 (en) Peer-to-peer authentication and authorization
US20100199086A1 (en) Network transaction verification and authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110509

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130425

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131028